Как устроена безопасность коммерческих сайтах, типа Директа?

danneo

Честный
Регистрация
13 Ноя 2007
Сообщения
1.527
Реакции
121
Нужно сделать систему оплаты за показы, типа, баннерная реклама, партнерка рефералов. Просмотры будут фильтроваться по различным параметрам. Далее будет статистика начислений (партнерка), выплат и т.п. Хочу сделать защиту от взлома. Какие методы бывают?
У меня такая мысль:
Сделать два сайта: рабочий и технический (для управления).
На техническом запускать все расчетные скрипты (подгружая данные из БД рабочего сайта), фильтры, смотреть статистику, банить и т.п. Результат их заработка (статистику) для просмотра пользователям загружается на рабочий сайт. Получается односторонняя связь. Никто не узнает откуда присылаются данные, как чего считается и т.п.
Так при взломе не будут выявлены алгоритмы фильтрации, нельзя внести изменения в БД (накрутка платежей и т.п.).
Но остается проблема - данные для фильтрации нужно брать с сайта, которым потенциально (может быть) опасен, вдруг добавил кто-то себе кол-во просмотров. Понятно, что можно отсеять сильные скачки вручную. Но не есть правильно.
 
а в чем проблема инициатором загрузки данных сделать технический сайт?
подключились извне по sftp/ssh -> положили файлик и отключились. а рабочий сайт берет данные из файлика и всё.

либо я не понял проблему, детализируйте
 
а в чем проблема инициатором загрузки данных сделать технический сайт?
подключились извне по sftp/ssh -> положили файлик и отключились. а рабочий сайт берет данные из файлика и всё.
либо я не понял проблему, детализируйте
А что в файлике будет, обчный txt?
Например, одна страница с 10000 просмотрами. У просмотра различные данные (ip, дата, цена, время просмотра userid и т.д.). Страниц 1000 шт. В файл полетит 10 000 000 строк. Как-то громоздко.
Или имели в виду php-файл?

Тех.сайт подразумевает некий бэкап с возможностью заново все просчитать (все просмотры, начисления, цены, заработки), удалив при этом все измененные вручную данные на сайте после взлома.
Т.е. я о том, что, например, взломали директ, прописали себе в БД баланс и все, жди денег. Но ведь не прокатит. Они могут все проверить заново, произвести перерасчет всех балансов у юзеров. И если этих алгоритмов у взломщика не окажется, то правильно незаметно вписать баланс не получится.
В общем, вопрос: как защитить коммерческие данные (баланс, статистику просмотров, начислений) от взлома, на тот случай, если взломали. У меня же нет штата в 100 человека аналитиков и программистов, как у яндекса. Явно найдется дыра в коде. Пентагон тоже взламывают... вот и хочу соломку подстелить по-хитрому.
 
В базах хранить хэш значений, дополнительно шифровать данные как-то. Внимательно следить чтоб изнутри инфа не утекла.
Вообще все данные гонять через вспомогательный сервис какой-то
 
Все ячейки через htmlcharset и.т.п. В БД хранится зашифрованные данные.
 
Нужно сделать систему оплаты за показы, типа, баннерная реклама, партнерка рефералов. Просмотры будут фильтроваться по различным параметрам. Далее будет статистика начислений (партнерка), выплат и т.п. Хочу сделать защиту от взлома. Какие методы бывают?
У меня такая мысль:
Сделать два сайта: рабочий и технический (для управления).
На техническом запускать все расчетные скрипты (подгружая данные из БД рабочего сайта), фильтры, смотреть статистику, банить и т.п. Результат их заработка (статистику) для просмотра пользователям загружается на рабочий сайт. Получается односторонняя связь. Никто не узнает откуда присылаются данные, как чего считается и т.п.
Так при взломе не будут выявлены алгоритмы фильтрации, нельзя внести изменения в БД (накрутка платежей и т.п.).
Но остается проблема - данные для фильтрации нужно брать с сайта, которым потенциально (может быть) опасен, вдруг добавил кто-то себе кол-во просмотров. Понятно, что можно отсеять сильные скачки вручную. Но не есть правильно.
Вопрос в масштабности проекта)) Для крупных вот неплохие примеры

+там много тем по данной теме "Построение кластеров, нагрузочное тестирование, capacity planning"
 
Назад
Сверху